أقدم بعض النصائح الهامة لمدراء السيرفرات ثم أصحاب المواقع
كشركة استضافة,
عليك بالتعمق والقرأة وكثرة الاطلاع وكثرة الاستفسارفى المجال لكى تزيد من معلوماتك وتزيد خبرتك من كثرة المشاكل
كصاحب موقع,
عليك بالحفاظ على سرية بياناتك, عدم الدخول الى حسابات موقعك المهمة (لوحة تحكم الموقع, لوحة تحكم المنتدى) من اتصال او جهاز غير جهازك, عليك ان تقوم بالتحديث المستمر لاى تحديث يطرح للاسكربت الخاص بك فى موقع شركة الاسكربت
كشركة استضافة,
عليك بأن لا تقبل بالاستضافات التى يحرمها الله, عليك ان تتقى الله فى عملك وفى تعاملاتك, عليك بالآمانة دائما فى تعاملاتك, عليك ان تعى حجم مسؤلية استضافة موقع لديك !!! وان هذا الموقع هو ناتج تعب سنين لا يجب الاستهانة بها او عدم تقديرها والحفاظ عليها, باتباع ما سبق بأمر الله ستبنى سمعة طيبة لموقعك وعليك السعى دائما للحفاظ عليها
كصاحب موقع,
عليك بأن تتقى الله فيما تعرضه وفيما تتعب فيه !! ولا تتحمل وزر غيرك !!! ولا تساعد على نشر ما يحرمه الله !!!, عليك ان تتحرى جيدا من الشركة وايضا عملاء الشركة وأرائهم فيها وسمعتها قبل الانضمام اليها, عليك ان تعى ان مسؤلية الحفاظ على أمن وسلامة موقعك هى مسؤلية مشتركة بين صاحب شركة الاستضافة وبينك لذلك يجب ان تتعاون معه اكثر لتسهل عليه الآمر , عليك ان تكون دائما صادق مع مستضيفك وان تعلمه بما تم من قبلك من امور قد تكون سببا فى المشكلة التى تبحث لها عن حل !!!
الهاكر يكون مبرمج ومحترف وذكى وهو من يقوم باكتشاف الثغرات اولا ثم ينشرها لكى بلعب بها الصغار الذين لا علم لهم,
الهاكر يدخل الى السيرفر بدون ما تشعر به لكى يأخذ شىء مهم له ثم ينسحب فى هدؤ, ولا يقوم بالاعلان عن نفسه او رفع اندكس !!!
من يقوم يتغيير اندكس واشياء شبيهة لذلك تدعو او تشهر بوجوده وبم تم عمله لا يكون هاكر, من يقوم باستغلال ثغرة برمجية لا تتطلب سوى الاشتراك فى مواقع سيكيوريتى واللجؤ على الانترنت انتظارا لفرصة فهذا ليس هاكر !!!
من قام باكتشاف الثغرة اولا نتيجة معرفته البرمجية فهذا هو الهاكر, ومن ينتظر ثغرات يتم نشرها لكى يستغلها يسمى script kiddie يعنى عيل بيلعب بأداة بدون علم الآداة دى اتعملت اذاى او جت اذاى , المهم انه يلعب بيها وخلاص
الهاكر هو فى الآصل مبرمج لديه عمل وحياة وبعد انتهاء مسؤلياته (فى اوقات الفراغ) يتحرك ويحاول ولا يمل من تحقيق ما يريده لآنه يستفيد خبرة ومعلومة من كل محاولة, بينما ال script kiddie يلجأ على الانترنت (ليس لديه اى عمل او منفعة) فى انتظار ثغرة تأتى له لكى يستغلها ويحقق شهرة زائفة
باختصار, أساس الاختراق يكون باستغلال ثغرة برمجية, يليه اهمال فى البيانات (من طرف الشركة او من طرف صاحب الموقع) أدى الى تسربها, اهمال صاحب الموقع فى تحديث الاسكربت القائم عليه موقعه, اهمال مدير السيرفر فى تأمين الخادم ومراجعة أمن الحسابات الموجودة على الخادم (كالبحث عن مجلدات بتصاريح 777 او ملفات شيل)
السؤال الاول :
ما هى مهام ومسؤليات مدير السيرفر ؟؟؟؟
1) توفير الحماية للمواقع وعليه يتم نشء احساس الآمان لدى العملاء
2) توفير الاستقرار للمواقع وعليه يتم توفير أبسط حقوق العميل وايضا يتم بناء سمعة من يدير السيرفر او شكرة الاستضافة
3) توفير السرعة للمواقع وعليه يتم التمييز فى المجال
4) الاطلاع والقرأة المستمرة والكثيفة فى المجال لتوفير الحلول ولزيادة معلوماته لآنه بكل بساطة مجالك وعمل حياتك وباب رزق لك
5) استخدام ادوات (من برمجته او من على الانترنت) تساعده على ان يكون على علم بكل صغيرة وكبيرة تتم على الخادم (وهذه مهمة جدا جدا لكى تتيح له التدخل فى الوقت المناسب)
6) الاشتراك فى مواقع السيكيوريتى لكى يكون على علم باى ثغرات جديدة يتم ظهورها
من السابق يتضح ان وظيفته الآساسية هى تأميين الخادم يليه الحسابات التى عليه بقدر الامكان (لآن اختراق موقع ليس كاختراق خادم!!!!)
السؤال الثانى :
ما هو صاحب الموقع وما هى مسؤلياته ؟؟؟؟
- اخ لك له موقع تعب عليه واضاع من عمره سنين لابقاءه مستمر ومتميز او يعمل لكى يبقيه كذلك بكل قوته
- يثق بك لكى تستضيف موقعه وتاخذ حقك وتعطي موقعه الاستقرار + الحماية وتضمن له سلامة وأمان تعبه (وهو موقعه)
- بما ان هناك من يدير له الخادم ومختص بشؤن الخادم (وهو مدير السيرفر), فيجب ان ينحصر دوره فى تطوير محتويات موقعه فقط
- يجب ان يكون صادق مع مدير السيرفر وان يبلغه بأى شىء قد قام به من جانبه (مثل اعطاء مجلد تصاريح 777 على سبيل التجربة او التعديل فى اكواد htaccess ) بدلا من القاء اللوم على شركة الاستضافة او مدير السيرفر
- عليه ان يكون اكثر تعاون مع شركة الاستضافة او مدير السيرفر
من السابق يتضح ان وظيفته الآساسية هى تطوير محتويات موقعه فقط ولا يتدخل فى او يجرب فى الخادم او فى تصاريح موقعه
السوال الثالث :
كيف يتم القضاء نهائيا على مشكلة الاختراق ؟؟؟
- لا يوجد طبعا حاجة اسمها القضاء على مشكلة الاختراق للآسباب التالية :
1) لآنه بكل بساطة لا يوجد حماية بنسبة 100% فى عالم الانترنت
2) لآنه لا يوجد اسكربت بدون خطأ برمجى وذلك لآن مبرمجها بشر عرضة للخطأ لآنه ليس كامل والكمال لله وحده
3) لآن فوق زى كل علم عليم
4) لآن العلم تراكمى وفى تطور مستمر
5) لان هناك دائما من يخالفون القوانين :d
6) لآن الممنوع مرغوب دائما
7) لآن الاختراق ما جاء الا لكسر الحماية والحماية ما جائت الا للحد من الاختراق, وعليه التصارع مستمر ودائم بينهم
ولكن,,,,,,,,,,,,,,,,,,,,,,,,,,
هناك طرق للتقليل من الاختراق وليس منعها نهائيا, وهى عبارة عن واجبات على الطرفين (ليس على طرف واحد)
1) واجبات صاحب الموقع :
- العمل الدائم على انزال اى تحديثات للاسكربتات المستعملة للقضاء على اى ثغرات تم اكتشافها
- الصدق ثم الصدق ثم التعاون مع مدير السيرفر او شركة الاستضافة
- الحفاظ على سرية بياناته (خارج جهاز الكمبيوتر أمن وأفضل) والعمل على تغييرها بشكل دورى
- عدم الدخول الى حسابات موقعه من اجهزة خارجية (مثال ,انترنت كافيه)
- استخدام كلمات مرور قوية والبعد عن جعل كلمة المرور باسم صاحب الموقع او على اسم الموقع
- عدم المساس او القيام بتغيير تصاريح مجلدات وملفات والبعد عن تصاريح 777 او 666
- عدم تنفيذ اى شىء على الخادم كتغيير اعدادات دون معرفة عواقبه (بلاش افتكاسات, وسيب العيش لخبازه)
- تامين جهازك الشخصى بشراء أنتى فايرس (رخيص يبدأ ب 60 جنيه مصرى) والعمل الدائم على تحديثه وايضا الكشف الدورى على الجهاز ضد اى فيروسات حتى لا يتم تنقالها خلال اتصالك باف تى بى موقعك او لكى تكتشف اى فيروسات فى موقعك اثناء تصفحك له
2) واجبات مدير السيرفر :
- تامين نظام التشغيل وما به من خدمات واوامر والاشتراك بمواقع السيكيوريتى لكى يكون على علم بكل ثغرة تكتشف
- الصدق ثم الصدق ثم الآمانة ثم التعاون فى التعامل مع العميل
- الكشف اليومى والدورى ضد الفيروسات والشيلات (مشفرة وغير مشفرة)
- الحصول على تقارير يومية لآية ملفات تم وضعها (خلال الاف تى بى او السى بانل) او اى تعديلات تمت فى اى ملفات (مثل التعديل فى اكواد htaccess لاضافة او السماح بتجاوزات)
- استخدام المود سيكيوريتى :
1) فى القضاء على استغلال ثغرات ال xss لان عن طريقها يتم سرقة البيانات
2) تأمين لوحات التحكم وذلك بالسماح باستخدام حروف معينة
3) تأمين الحسابات ضد ثغرات sql injection
4) محاولة ترقيع الثغرات التى يتم اكتشافها عن طريق ال virtual patching
- تأمين جميع لوحات تحكم المنتدى او الاسكربتات بعمل جدار نارى لها مجانا
طبعا, انا ضد الاختراق تماما بسبب, اولا يزعج العميل وقد يؤدى الى بحثه عن شركة اخرى, ثانيا يؤثر فى سمعة الشركة المستضيفة للموقع المخترق,,,
هذه هى وجهة نظرى البسيطة, وفى رأيى اذا التزم كلا الطرفين بتنفيذ واجباتهم المفادة مسبقا, ان شاء الله سيحد ذلك من مشكلة الاختراق بشكل كبير
تقبلوا وافر تقديرى واحترامى لكم واعذروا لى الاطالة ,,
والسلام عليكم ورحمة الله وبركاته